Une faille Zero-Day frappe le navigateur web Safari

Le par  |  5 commentaire(s) Source : Par la rédaction de Vulnérabilité

Notre confrère Vulnérabilité.

Notre confrère Vulnérabilité.com, spécialisé dans la sécurité informatique, nous annonce l'existence d'une faille critique dans Safari.


Faille 0-day
Du 18 au 20 avril derniers, à Vancouver, une ville portuaire de l'ouest canadien, s'est tenue la conférence CanSecWest. Au cours de cette dernière axée sur la sécurité informatique, la société TippingPoint a organisé un concours où il était question de mettre à mal la sécurité d'un ordinateur portable Apple MacBook. Pour cela, deux ordinateurs MacBook bénéficiant des dernières mises à jour de sécurité étaient connectés en réseau et mis à la disposition des participants. Celui qui parvenait le premier à pénétrer le système repartait alors avec un MacBook, ainsi qu'un prix de 10 000 dollars.

Le deuxième jour du concours, Shane Macaulay, un ingénieur en informatique mis à jour une faille de type Zero-Day dans le navigateur web Safari, et réussit à l'exploiter dans une arnaque de type phishing (ou hameçonnage). A l'origine de l'exploit, Dino Dai Zovi, un chercheur en sécurité informatique. Dans la nuit du 19 au 20 avril, ce dernier a passé neuf heures à le mettre au point avant de charger Macaulay d'en faire la démonstration en public. Si Macaulay a naturellement remporté l'ordinateur portable MacBook, Zovi revendique quant à lui la paternité de l'exploit. Il recevra par conséquent les 10 000 dollars une fois la faille vérifiée par TippingPoint.

Au vu du nombre de failles de type Zero-Day qui ont découvertes sous la plate-forme Windows, certains pouvaient penser que seule cette dernière était concernée. Cette démonstration vient de prouver le contraire.

Complément d'information
  • Faille 0-day : Google récidive contre Microsoft
    Google divulgue publiquement une vulnérabilité sans patch affectant des produits de Microsoft (Edge et IE). La deuxième fois en un peu plus d'une semaine sous l'égide de Project Zero.
  • Linux et Android : une faille 0-day présente depuis 2012
    Des dizaines de millions de PC et serveurs Linux, et deux tiers des terminaux Android vulnérables. Perception Point a identifié une vulnérabilité 0-day présente dans le noyau Linux depuis 2012. Elle peut permettre à des attaquants ...

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #167002
Petite précision :
"Au départ, il fallait arriver à pénétrer dans la machine, avec seulement le système en fonctionnement. La chose s'étant avérée impossible, le concours a été modifié, et le gagnant a réussi son hack en envoyant par mail un lien qui une fois lancé sous Safari a réalisé l'exploit.
Après analyse de la faille, il semble qu'elle soit encore une fois imputable à QuickTime, et qu'elle touche également les PC l'ayant installé. A ce moment là, tout butineur ayant Java activé devient vulnérable."
source : mac bidouille

Donc cette faille touche non seulement Mac OS X mais aussi Windows (dans la mesure ou quick time y est installé).
Le #167004
je croyais que Une faille Zero-Day voulait dire qu elle etait deja exploitée ' (et non pas seulement decouverte).
Le #167006
Salut, les paranos !!
Le #167036
Bon, j'attends.. 'Sont où les trolls là '
Le #167067
Vouloir du troll, c'est troller soit même
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]